URL: https://www.overclockers.at/applications/aktuelle-sicherheitsluecken_238671/page_13 - zur Vollversion wechseln!
Ui danke. Muss ich gleich heute machen!! Danke fürs erinnern. Die Sicherheitslücke in NGINX die nextcloud erwähnt hat vor nem Monat muss ich auch noch behandeln. Damn it
danke! mache auch gerade ein update.
edit:
ZitatUpdate 11/18/19: NextCloud has told BleepingComputer that after conducting an investigation they are confident that the attacker is exploiting the PHP -FPM vulnerability that they issued an advisory on.
We've been looking into the reports on the forum and source of the virus. We are confident that the attack vector was the nginx+php-fpm security issue that hit the web some time ago.
While it was not an issue in Nextcloud itself, we informed our users through all channels we had available, including a direct notification to Nextcloud servers. This likely explains why so few servers were impacted out of the hundreds of thousands of Nextcloud servers on the web.
BleepingComputer advises users to upgrade to PHP 7.3.11 or PHP 7.2.24, depending on development branch being used, to fix this vulnerability.
Uff k, war also genau der käse. Muss ich gleich machen. Danke
würd mir jetzt gern das php 7.2.24 installieren. hab die 7.2.19 oben.
auf meinen added repos is aber 7.2.19 die neueste.
wie mach ich da jetzt am besten weiter? hätte händisch builden probiert, aber so ganz blick ich nicht durch, er findet nachm ./configure kein make file...
welche distri?
ich habe gestern ein repo (nach dieser anleitung) hinzugefügt weil in den normalen von ubuntu 18.04 keine aktuellere version drin war als ich eh schon hatte. (das apache2 repo vom gleichen maintainer hab ich dann auch hinzugefügt und alles updated)
Wenn du eine Distribution fuer Erwachsene verwendest, kuemmert die sich darum, die Sicherheitskorrektur fuer deine aus den offiziellen Paketen installierte Version bereitzustellen. Da musst du nicht panikerfuellt pfuschen, und dir deine Installation dabei quasi-irreparabel beschaedigen.
Irgendwelchen 3rd-Party-Repos oder PPAs gegenueber waere ich *extrem* misstrauisch. Wenn du nicht absolut sicher bist, dass du die Aenderungen gegenueber deine Distribution unbedingt brauchst, und dass du dem Maintainer der Paketquelle vertrauen (nicht nur in Sachen technischer Kompetenz) kannst: Finger weg!
ubuntu server 19.04 läuft bei mir.
@COLOSSUS: das sind genau meine bedenken.
hab den config entry in der nginx config mal geändert. das php update gibts noch nicht auf ondrejs repo, zumindest für 18.04 nicht. hab gestern upgegraded
Die bedenken habe ich auch. Aber i hab halt panikerfüllt gepfuscht.
Ist PHP 7.4 auch betroffen?
Wenn ihr Ubuntu auf einem Server einsetzt, solltet ihr
Bei mir läuft 18.04LTS. apt-get hat mir gestern keine gepatchte Version von PHP installiert.
Danke COLOSSUS für deine Expertenmeinung.
Bei mir bietet er jedoch auch noch kein update an. auch nicht in den ubuntu repos oder überseh ich was?
edit: okay. jetzt findet ers. bei 18.04 hat ers mir noch nicht angeboten.
Laut Artikel wird fuer diese Attacke die Schwachstelle, die in CVE-2019-11043 beschrieben ist, ausgenutzt. Genau diese wird durch https://usn.ubuntu.com/4166-1/ (hab ich oben als im ML-Archiv verlinkt) gefixt - siehe ganz unten unter "References".
Ihr wart mit Ubuntu 18.04 (o. ae.; siehe Advisory fuer Details) und einem via `sudo apt update && sudo apt dist-upgrade` angeforderten, systemweiten Update fuer alle installierten Pakete seit etwa 28. Oktober nicht mehr verwundbar fuer diesen Angriff, _wenn_ ihr die offiziellen Ubuntu-Paketquellen verwendet. (Genau dieser Komfort ist der grosze Vorteil beim Benutzen einer Distribution.)
k danke!
Der Vollstaendigkeit halber - wenn ihr checken wollt, ob ihr das Paket mit dem Fix schon installiert habt, fuehrt ihr `apt policy <PaketName>` aus. Unter Debian hier (selbes Tooling, aber andere Paketversionsstrings) schaut das so aus:
Code:$ apt policy php7.3-fpm php7.3-fpm: Installed: 7.3.11-1~deb10u1 Candidate: 7.3.11-1~deb10u1 Version table: *** 7.3.11-1~deb10u1 500 [...] 100 /var/lib/dpkg/status
Code:$ dpkg --compare-versions "7.2.24-0ubuntu0.18.04.1" ">=" "7.2.24-0ubuntu0.18.04.1" && echo OK || echo unfixed OK $ dpkg --compare-versions "7.2.23-0ubuntu0.18.04.1" ">=" "7.2.24-0ubuntu0.18.04.1" && echo OK || echo unfixed unfixed
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024